Всем привет!

Прошу помощи в настройке маршрутизатора Cisco 3725. Опыта практически не имею, поэтому прошу помощи в решении следующей проблемы.
Есть роутер, который смотрит в инет. Внутренний адрес 192.168.21.1. Есть два сегмента внутри сети: 192.168.21.0/24, 192.168.25.0/24. Между этими двумя сегментами стоит 3725.
Проблема в том, что я не знаю, как правильно настроить нат, чтобы из 25 подсети был доступ в Интернет, и из 21й был доступ в 25 (например, по рдп).
Конфиг 3725 следующий:

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 warnings
enable secret 5 $1$U0E4$3K.YBI3D8gTz8QaeWpoQA0
enable password 7 060B0E32584B1B
!
no aaa new-model
memory-size iomem 25
clock timezone MSK 3
clock summer-time MSK recurring last Sun Mar 2:00 last Sun Oct 3:00
ip cef
!
!
!
!
!
!
!
crypto pki trustpoint TP-self-signed-1806277845
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1806277845
revocation-check none
rsakeypair TP-self-signed-1806277845
!
!
crypto pki certificate chain TP-self-signed-1806277845
certificate self-signed 01
  3082023E 308201A7 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 31383036 32373738 3435301E 170D3039 30323137 30393433
  34325A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 38303632
  37373834 3530819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100DCB0 0F5BD799 2B8D474D 8602D40A 81BA38F0 03FA229C 54A07039 FB6B8CCE
  A1C1B663 A1F7F5AD 6A35035F 7AD5FDD4 82069B04 D4C72E2C E87E49DE F6137851
  4312A0AE 3F6F9D76 A09DF257 60D33F45 3AAD4C41 77827C51 ECF8F7F9 5F84C061
  9C839127 6F42D437 0AB729AD 84AB28BE 65EA1F76 3F53FF4E 9A20BFE3 E7591F9E
  23810203 010001A3 66306430 0F060355 1D130101 FF040530 030101FF 30110603
  551D1104 0A300882 06526F75 74657230 1F060355 1D230418 30168014 BD78D30E
  BB7C9197 C12CE2C3 D05FFF0F 3C8B1816 301D0603 551D0E04 160414BD 78D30EBB
  7C9197C1 2CE2C3D0 5FFF0F3C 8B181630 0D06092A 864886F7 0D010104 05000381
  810024B3 24E884ED 72B7E8A2 BF6F2C0F CAC26CB1 83D8661C 78120E28 E87C00E4
  40B6A6B7 2ECE0D10 FCD3266B 46CE74E1 8D497654 6DA80C5D E7597F86 73F5D814
  16FBB477 653AF8FD C46859DE 006DEFCF 1B2C3C8B 01944F02 E8EC7257 A446C8E9
  9D7ED8A6 4634C3EC B86E81A9 ED91414D 96975EFB 3EE77FE9 D8F7BBF9 446DAEE1 24FE
  quit
username admin privilege 15 password 7 082C4D5D1D1C17
!
!
!
!
!
interface FastEthernet0/0
ip address 192.168.25.80 255.255.255.0
no ip redirects
no ip unreachables
ip nat inside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
ip address 192.168.21.210 255.255.255.0
no ip redirects
no ip unreachables
ip nat outside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
no mop enabled
!
ip route 0.0.0.0 0.0.0.0 192.168.21.1
!
ip http server
ip http authentication local
ip http secure-server
ip nat log translations syslog
ip nat inside source list 1 interface FastEthernet0/1 overload
!
logging trap debugging
logging 192.168.25.77
access-list 1 permit 192.168.25.0 0.0.0.255
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
privilege level 15
password 7 1043080A111200
login local
transport input all
!
End

При таком конфиге, из 25й подсети есть доступ в инет, но из 21й я могу только пинговать 25ю, а доступа по рдп нет. Если убрать нат, то доступ по рдп из 21 в 25 есть, но инета в 25 нет.
Опыта и знаний маловато, но задачу надо как-то решить. Буду рад, если поможете.